GDPR

1. Introduzione

Il 25 maggio 2018 è entrato pienamente in vigore nell’Unione Europea il Regolamento generale sulla protezione dei dati (GDPR). In Italia tale normativa è applicata attraverso il Codice in materia di protezione dei dati personali ed è supervisionata dall’Autorità Garante per la protezione dei dati personali.

Questo quadro normativo ha lo scopo di:

• rafforzare il controllo degli individui sulle proprie informazioni personali

• garantire che le operazioni di trattamento dei dati siano svolte in modo chiaro e sicuro

• stabilire responsabilità precise e obblighi di conformità per i soggetti coinvolti nel trattamento dei dati

2. Ambito di applicazione

Le disposizioni del GDPR si applicano a:

• organizzazioni stabilite all’interno dell’Unione Europea, indipendentemente dal luogo in cui avviene il trattamento dei dati

• soggetti situati al di fuori dell’Unione Europea che offrono beni o servizi a persone residenti in Italia o in altri Stati membri oppure che analizzano il comportamento online degli utenti, ad esempio tramite cookie o tecnologie di tracciamento

Le attività di trattamento effettuate esclusivamente per finalità personali o domestiche non rientrano nel campo di applicazione del regolamento.

3. Principi fondamentali del trattamento dei dati

Il trattamento delle informazioni personali deve rispettare i seguenti principi stabiliti dalla normativa:

• liceità e trasparenza: le operazioni devono basarsi su una base giuridica valida e devono essere comunicate agli interessati in modo chiaro

• limitazione delle finalità: i dati possono essere raccolti solo per scopi specifici e legittimi

• minimizzazione dei dati: devono essere trattate esclusivamente le informazioni necessarie rispetto alle finalità previste

• accuratezza: i dati devono essere corretti e aggiornati quando necessario

• limitazione della conservazione: le informazioni non devono essere conservate oltre il periodo necessario per gli scopi indicati

• integrità e riservatezza: devono essere adottate misure tecniche e organizzative adeguate per prevenire accessi non autorizzati, perdita o utilizzo improprio delle informazioni

4. Diritti degli interessati

Il GDPR riconosce agli utenti diversi diritti relativi alle proprie informazioni personali:

• diritto di accesso e informazione: possibilità di conoscere quali dati vengono trattati e ottenere una copia delle informazioni

• diritto di rettifica: aggiornamento o correzione di dati inesatti o incompleti

• diritto alla cancellazione (diritto all’oblio): eliminazione delle informazioni personali quando previsto dalla normativa

• diritto alla limitazione del trattamento: sospensione temporanea del trattamento in specifiche circostanze

• diritto alla portabilità dei dati: trasferimento dei dati verso un altro fornitore di servizi in formato strutturato

• diritto di opposizione: possibilità di opporsi a trattamenti basati su interessi legittimi, come quelli relativi alla pubblicità comportamentale

• protezione dei minori: per gli utenti con età inferiore ai 18 anni è richiesta l’autorizzazione esplicita di un tutore legale

5. Obblighi dei soggetti che trattano i dati

Le attività di trattamento devono rispettare specifici obblighi operativi, tra cui:

• eseguire il trattamento esclusivamente secondo istruzioni documentate del titolare del trattamento

• adottare misure di sicurezza adeguate come sistemi di cifratura, controlli di accesso e firewall

• fornire risposta alle richieste degli interessati relative ai propri dati personali

• notificare eventuali violazioni dei dati personali alle autorità competenti e agli utenti interessati quando previsto

• mantenere registri delle attività di trattamento dei dati

• effettuare valutazioni d’impatto sulla protezione dei dati (DPIA) quando richiesto

• designare e comunicare la nomina di un responsabile della protezione dei dati (DPO) quando necessario

6. Trasferimento internazionale dei dati

Quando i dati personali vengono trasferiti verso paesi situati al di fuori dello Spazio Economico Europeo (SEE), devono essere applicate adeguate garanzie giuridiche. Tra queste:

• la verifica che il paese destinatario sia riconosciuto dalla Commissione Europea come avente un livello adeguato di protezione dei dati

• l’utilizzo delle clausole contrattuali standard approvate dall’Unione Europea, accompagnate se necessario da ulteriori misure tecniche di sicurezza come la cifratura end-to-end

7. Autorità di controllo e sanzioni

In Italia l’Autorità Garante per la protezione dei dati personali dispone di poteri di controllo che includono:

• attività di verifica e ispezione

• sospensione o limitazione di trattamenti non conformi alla normativa

• applicazione di sanzioni amministrative fino a 20 milioni di euro oppure fino al 4% del fatturato annuo globale, scegliendo l’importo più elevato

La normativa consente inoltre agli interessati di stabilire, tramite dichiarazione o testamento, modalità specifiche per la gestione dei propri dati personali dopo il decesso. In assenza di indicazioni esplicite, tali diritti possono essere esercitati dagli eredi.

8. Rilevanza del GDPR

L’applicazione del GDPR comporta diversi effetti:

• per gli utenti, un livello più elevato di trasparenza e protezione dei dati personali

• per le piattaforme digitali, una maggiore conformità normativa e una riduzione dei rischi legali

• per l’ambiente digitale nel suo complesso, un contesto più affidabile e coerente con i requisiti previsti dalle politiche di Google e Google Merchant Center

9. Contatti

Per esercitare i diritti previsti dalla normativa o ottenere ulteriori informazioni relative alla protezione dei dati è possibile contattare il responsabile della protezione dei dati (DPO):

Email: ask@purehomesanctuary.com

Le comunicazioni ricevono generalmente una risposta entro 24 ore; in caso di richieste più complesse i tempi di gestione possono risultare più lunghi.